ドメイン危機録 EP10:シリア電子軍がフィッシングで再販業者を陥落させ、NYTimes.comを奪取した方法
2013年8月27日、シリア電子軍はMelbourne ITの再販業者をフィッシングで攻撃し、nytimes.comとTwitterのドメインのDNSレコードを書き換えて、ニューヨーク・タイムズを数時間にわたってオフラインに追い込んだ。レジストラチェーンの弱い輪が大手新聞社の玄関口を破綻させるまでの経緯、そしてレジストリロックがあれば何が変わったかを徹底的に解説する。
- domains
- security
- dns
- domain-security
新聞社にとって、ドメイン名は玄関口そのものだ。nytimes.com と入力するとき、あなたは目に見えない連鎖——ドメインレジストリ、レジストラ、そしてその下層に位置する再販業者——を信頼し、本物の編集局だけに接続されることを期待している。普段はその連鎖を意識することすらない。だが2013年8月27日、その連鎖が断ち切られた。数百万人の読者がニューヨーク・タイムズの玄関口を訪れると、そこには全く別の「何者か」が掲げた看板が立っていた。
その「何者か」とはシリア電子軍(SEA:Syrian Electronic Army)——アサド政権を支持する親政府系ハッカー集団で、2013年を通じて欧米メディアを次々と標的にしていた。今回彼らがやったことは、記事の改ざんでも、コンテンツ管理システムへの侵入でもなかった。もう一段深いところ——DNSレコード、つまりドメインの接続先を決める仕組み——に手を入れたのだ。そして数時間のあいだ、地球上でもっとも読まれるニュースサイトのひとつのアドレスを、彼らが支配した。
ドメインは玄関口であり、その錠前はあなたの管轄外にある
ニューヨーク・タイムズのような企業がドメインを登録すると、「誰がこれを所有しているか、どこを指しているか」という権威ある情報はレジストリ(.comの場合はVerisign)に保存され、レジストラを通じて管理される。大手レジストラはさらに再販業者——ドメインサービスを転売し、レジストラのシステムへの独自ログインを持つ中小企業——を通じてサービスを提供することが多い。
この多層構造は便利だ。しかし同時に、最も弱い輪がシステム全体のセキュリティを決定する信頼の連鎖でもある。攻撃者がその連鎖のなかの誰か——登録者、レジストラのスタッフ、あるいは再販業者——として認証を通過できれば、レジストラのシステムは設計通りにその人物を正当な所有者として扱う。Melbourne ITのCEO自身が、この脆弱性を一言で言い表した。AP通信に対し、「彼らは正面玄関から入ってきた」と述べたのだ。有効なユーザー名とパスワードさえあれば、システムはその人物を正当な所有者とみなす。問題の核心はまさにそこにある。
2013年8月27日:nytimes.comが別の場所を指した日

火曜日の午後遅く、読者はタイムズにアクセスできなくなった。ABCニュースは「ニューヨーク・タイムズのウェブサイトが一部ユーザーに表示されなくなった」と報じ、同紙はドメインレジストラへの攻撃を受けて「火曜日の午後から読者がサイトを閲覧できない状態」にあると認めた。これは一時的な小さな障害ではなかった。クリスチャン・サイエンス・モニターは、訪問者が「火曜日の数時間にわたって空白のブラウザ画面を表示された」と報じた。さらに追い打ちをかけるように、これは「今月2度目」のダウンだった。
実際に起きていたのはレジストラレベルでのDNSハイジャックだった。攻撃者はnytimes.comをIPアドレスに変換するレコードに侵入し、書き換えた。Wikipediaの事件記録によると、NYTimes.comの「DNSが『Hacked by SEA(SEAによりハッキング済み)』というメッセージを表示するページにリダイレクトされた」のだ。玄関の看板が、全く別の出入口に付け替えられていたのである。
タイムズだけが標的ではなかった。TechCrunchがリアルタイムで報じたところによれば、「ニューヨーク・タイムズとTwitterのネームサーバーはいずれもレジストラMelbourne ITに登録されていたとみられる」という。また「Twitterの画像とアバターを配信するtwimg.comドメインも、SEAが保有するとみられるサーバーを指す変更が確認された」とも報告された。Twitterの本体サービスはほぼ無事だったが、画像・アバター用ドメインが一時的に不安定になり、一部ユーザーは壊れた画像を目にした。
影響:数時間の暗転と、信頼できないリダイレクト
報道機関にとって、ハイジャックの代償はページビューの損失だけでは測れない。信頼そのものが傷つく。障害が続くあいだ、nytimes.comにアクセスするすべての人は攻撃者の管理下に置かれていた。タイムズの最高情報責任者マーク・フロンズは社員に対し、この障害は「シリア電子軍、あるいはそれになりすまそうとした何者かによる、悪意ある外部攻撃の結果」だと伝え、ドメインが新聞社の管理下を離れている間はメールの取り扱いに注意するよう警告した。
ハイジャックされたDNSレコードが実際に可能にすることを考えてほしい。攻撃者はドメインの名前解決先を制御できるため、今回のような改ざんページを表示させることができる。だが同じ手口で、巧妙な偽ログイン画面を表示したり、認証情報を収集したり、通信を傍受したりすることも可能だ。改ざんは派手で目立つ。だが静かなDNSハイジャックははるかに危険であり、同じ脆弱性がどちらにも悪用できる。ハフィントン・ポストUKのドメインも今回の事件に巻き込まれており、これが単一のニュースルームへのいたずらではなく、レジストラアカウントの侵害であったことを物語っている。
手口:新聞社ではなく、再販業者をフィッシングする

ここで立ち止まって考えるべき点がある。SEAはニューヨーク・タイムズに侵入する必要がなかった。同紙のサーバーにもCMSにも一切触れていない。彼らが攻撃したのは、レジストラの下に連なる連鎖だった。
侵入口となったのは、Melbourne ITの米国拠点の再販業者に送られたスピアフィッシングメールだった。The Next Webが報じたとおり、Melbourne ITは「SEAがフィッシング手法を使って再販業者のログイン情報を入手したことを確認した」——再販業者のスタッフが騙されてメール認証情報を渡してしまい、攻撃者はそのメールボックスからレジストラのログイン情報を掘り起こした。あとは単純な話だ。「Melbourne ITの再販業者の認証情報(ユーザー名とパスワード)が、Melbourne ITシステム上の再販業者アカウントへのアクセスに使われ」、侵入後、攻撃者は「タイムズのドメインを含む複数のドメイン名のDNSレコードを変更した」のだ。
TechCrunchの報告も率直だ。「その再販業者アカウント上の複数のドメイン名のDNSレコードが変更された——nytimes.comを含む」。
これがレジストラチェーン攻撃を魅力的にする非対称性だ。タイムズが自社インフラをいくら堅牢にしても意味がない。脆弱なアカウントは、編集局から何段階も離れたサードパーティの再販業者に属していたのだから。小さな会社の数人の社員へのスピアフィッシングで、数百万人が読む新聞のアクセスを乗っ取るのに十分だった。
対応と事後
Melbourne ITが状況を把握してからの復旧は比較的単純だった——そしてこれは、レジストラを掌握している側であればこれらの攻撃がどれだけ回復可能かを示している。同社は正しい設定を復元し、改ざんされたDNSレコードを元に戻して「ロック」し、それ以上の変更を防いだ。侵害された再販業者アカウントのパスワードを変更し、ログを調査して侵入経路を追跡した。タイムズは水曜日の早朝にサービスを復旧した。
しかし、この事件でもっとも教訓になる詳細は、なぜ被害がそこで止まったのかという点だ。同じ再販業者アカウント上のドメインのなかに、まったく影響を受けなかったものがあった——その所有者が、より強固な保護を有効にしていたからだ。Melbourne IT自身の言葉を借りれば、「ミッションクリティカルなドメイン名については、.comを含むドメイン名レジストリが提供する追加のレジストリロック機能を活用するよう推奨している——今回標的になった再販業者アカウントのドメイン名のうち、このロック機能を有効にしていたものは影響を受けなかった」というわけだ。
レジストリロックは、ドメインを特定の状態(WHOISではserverUpdateProhibitedといったフラグとして確認できる)に置き、より厳格なアウトオブバンドプロセスを経なければレジストリが変更を拒否する仕組みだ。ドメイン業界の観測者が当時指摘したとおり、TwitterのレコードにはまさにそのようなVerisignロックステータスが付いていた。フィッシングで盗んだ再販業者のパスワードはレジストリロックを突破できない——そのたった一つの設定の選択が、「数時間のダウン」と「まったく影響なし」の分かれ目だった。
レジストラ・再販業者チェーンとレジストリロックが教えること
2013年8月27日のハイジャックは、失敗の連鎖のすべての輪が可視化された、ほぼ完璧な教材だ。
- ドメインのセキュリティは、それを変更できる最も弱いアカウントのレベルに依存する。 それにはレジストラのスタッフや、その下の再販業者も含まれる——いずれもあなたが直接コントロールできない。タイムズは自社サーバーで何も誤ったことをしていない。侵害は何段階も遠いところで起きた。
- フィッシングはファイアウォールを迂回する。 高度な脆弱性は一切使われなかった。数人の再販業者社員への偽メールが、レジストラシステムが完全に正当と認める認証情報を生み出した。「彼らは正面玄関から入ってきた。」
- レジストリロックこそが実際に機能した対策だった。 追加のレジストリロック機能を有効にしていたドメインは「影響を受けなかった」。ミッションクリティカルなドメインにとって、レジストリロック(加えてレジストラロックとレジストラアカウントへの2要素認証)はオプションの強化策ではない——これがベースラインだ。
- DNSの変更は強力かつ迅速だ。 ネームサーバーやAレコードを1回書き換えるだけで、ブランド全体が即座に別の場所に向く。一つの侵害されたアカウントの被害範囲は、そのアカウントが触れられるすべてのドメインに及ぶ。
- 自分のレコードを監視せよ。 WHOISとDNSのモニタリングがあれば、不正な変更を数分で検知できる。予期しないネームサーバー変更に気づくのが早いほど、障害は小さくなる。
Namefiの視点

SEAのハイジャックは、本質的には権限の証明の問題だった。レジストラのシステムは、本物の所有者とフィッシングで盗んだパスワードを持つ攻撃者を区別できなかったため、設計通りに動作して変更を受け入れた。機能した防御策のすべて——レジストリロック、アウトオブバンド確認、監視体制——は結局のところ、変更要求が真に所有者から来たものであることを証明するためのハードルを上げる手段だ。
Namefiはまさにその前提から出発している。ドメイン所有権と管理は、検証可能かつ改ざん耐性を持つべきものであり、再販業者の受信箱を漂う単一の使い回し可能なパスワードに頼るべきではない。ドメイン所有権をDNSとの互換性を保ちながらオンチェーンの暗号学的に検証可能な資産として表現することで、Namefiは「このドメインを変更する権限は誰にあるか」という問いに、暗黙の信頼ではなく、強固で監査可能な答えを与える。コントロールの変更は、ログインした誰かによる暗黙の操作ではなく、所有者に紐づいた明示的な署名済みアクションとなる——誰かがパスワードを知っていれば開けられる玄関の錠前ではなく、自分だけが鍵を持つレジストリロックに近い形で。
新聞社にとってドメインは玄関口だ。2013年8月27日の教訓は、どれほど頑丈な錠前を取り付けても、数棟離れたところにいる見知らぬ人が騙されて合鍵を渡してしまえば無意味だということだ。解決策は、所有権そのものを証明可能にすること——見知らぬ人が「正面玄関から入ってきた」と言える状況を、永遠に成立させないことだ。
出典・参考資料
- The Register — New York Times, Twitter domain hijackers 'came in through front door'
- TechCrunch — Syrian Electronic Army Apparently Hacks DNS Records Of Twitter, NYT Through Registrar Melbourne IT
- ABC News — New York Times Website Hacked, Syrian Electronic Army Appears to Take Credit
- Christian Science Monitor — New York Times hacked, Syrian Electronic Army takes credit
- iTnews — Melbourne IT compromise redirects NY Times, HuffPo readers
- The Next Web — Here's How the New York Times and Twitter Got Hacked
- Domain Name Wire — Melbourne IT the weak link as Twitter and NY Times domain names compromised
- Wikipedia — Syrian Electronic Army
- NBC News — Syrian group hacks Twitter, New York Times
- Al Jazeera — Syria hackers target New York Times website
著者について
関連ガイド
- 12ドルの1分間:誰かがひっそりとGoogle.comを購入した日2015年9月、元Google社員がGoogle Domainsを通じてgoogle.comを12ドルで購入し、世界で最も価値あるドメインの管理権を約1分間保持した。Sanmay Vedと6,006.13ドルのバウンティ、そして「1分間の所有」が明かすドメイン支配の実態。
- ドメイン危機録 EP03:2020年Twitterビットコインアカウント乗っ取り事件2020年7月15日、攻撃者は電話一本でTwitterに侵入し、オバマ、バイデン、マスク、ゲイツ、Apple、Uberの認証済みアカウントを乗っ取り、ビットコイン2倍詐欺を実行——約11万8,000ドルを詐取した。オンライン上のアイデンティティがいかにして奪われたか、そして「名前を所有する」ことの意味を深く掘り下げる。
- ドメイン緊急事態 EP05:2024年Squarespace DeFiドメイン大量乗っ取り事件2024年7月、Google DomainsからSquarespaceへのレジストラ移行が、デフォルト認証の脆弱性を大規模な攻撃面に変えた。攻撃者はCompound Finance、Celer Network、Pendle、Unstoppable Domainsなど暗号資産・DeFiプロジェクトのドメインを乗っ取り、ウォレットドレイナー型フィッシングサイトに誘導した。「シームレス」な移行がいかにして数百の無施錠の玄関を生み出したか、そしてレジストラセキュリティとMFAについて何を教えてくれるかを解説する。
- BadgerDAOフロントエンド攻撃:1本の注入スクリプトで1億2000万ドルが流出2021年12月、攻撃者はBadgerDAOのCloudflareアカウントを侵害し、ウェブサイトのフロントエンドに悪意あるスクリプトを1本注入した。監査済みのスマートコントラクトには一切手を触れていないにもかかわらず、ユーザーが知らぬまま署名したウォレット承認を通じて約1億2000万ドルが奪われた。ウェブサイトもセキュリティの攻撃面であることを深掘りする。